Para poder construir un cortafuegos IP con Linux, es necesario disponer de un n�cleo compilado con soporte de cortafuegos de IP y de la utilidad de configuraci�n adecuada. En todos los n�cleos anteriores a la serie 2.2 se usaba la utilidad ipfwadm. Los n�cleos 2.2.x supusieron el lanzamiento de la tercera generaci�n de cortafuegos de IP para Linux que se denomin� 'IP Chains'. 'IP chains' utiliza un programa similar a ipfwadm que se llama ipchains. Los n�cleos de Linux 2.3.15 y siguientes soportan la cuarta generaci�n de cortafuegos de IP de Linux que se denomina netfilter. El c�digo de netfilter es el resultado de un gran redise�o del flujo en el manejo de paquetes en Linux. Netfilter es una criatura con m�ltiples caras, pues proporciona un soporte compatible hacia atr�s tanto con ipfwadm como con ipchains adem�s de una nueva orden alternativa que se llama iptables. En las pr�ximas secciones se hablar� de las diferencias entre los tres.
El n�cleo de Linux debe configurarse para que d� soporte a las funciones de cortafuegos de IP. S�lo hay que seleccionar las opciones adecuadas cuando se realiza un make menuconfig del n�cleo. [1] En el Cap�tulo 3 se describe c�mo hacerlo. En los n�cleos 2.2, las siguientes opciones deber�an ser seleccionadas:
Networking options --->
[*] Network firewalls
[*] TCP/IP networking
[*] IP: firewalling
[*] IP: firewall packet logging |
En cambio, en los n�cleos 2.4.0 y posteriores se deber�an seleccionar estas opciones:
Networking options --->
[*] Network packet filtering (replaces ipchains)
IP: Netfilter Configuration --->
.
<M> Userspace queueing via NETLINK (EXPERIMENTAL)
<M> IP tables support (required for filtering/masq/NAT)
<M> limit match support
<M> MAC address match support
<M> netfilter MARK match support
<M> Multiple port match support
<M> TOS match support
<M> Connection state match support
<M> Unclean match support (EXPERIMENTAL)
<M> Owner match support (EXPERIMENTAL)
<M> Packet filtering
<M> REJECT target support
<M> MIRROR target support (EXPERIMENTAL)
.
<M> Packet mangling
<M> TOS target support
<M> MARK target support
<M> LOG target support
<M> ipchains (2.2-style) support
<M> ipfwadm (2.0-style) support
|
La utilidad ipfwadm (el administrador del cortafuegos de IP) es la herramienta que se utiliza para construir las reglas del cortafuegos para todos los n�cleos anteriores al 2.2.0. La sintaxis de las �rdenes puede resultar muy confusa porque permite realizar un amplio espectro de cosas; aqu� se proporcionar�n algunos ejemplos comunes que ilustrar�n las variaciones m�s importantes dentro de ese espectro.
La utilidad ipfwadm se incluye en la mayor�a de las distribuciones modernas de Linux, aunque quiz�s no por defecto. Puede que haya un paquete de 'software' espec�fico que tenga que instalar. Si su distribuci�n no la incluye, puede obtener el paquete con el c�digo fuente de ftp.xos.nl dentro del directorio /pub/linux/ipfwadm/, y compilarla usted mismo.
Al igual que la utilidad ipfwadm, la utilidad ipchains puede resultar algo desconcertante al principio. Proporciona toda la flexibilidad de ipfwadm con una sintaxis simplificada, y adem�s proporciona un mecanismo de “encadenamiento” que le permite gestionar m�ltiples conjuntos de reglas y enlazarlas conjuntamente. Se cubrir� el encadenamiento de reglas en una secci�n independiente cerca del final de este cap�tulo, porque resulta un concepto avanzado en la mayor�a de las situaciones.
La orden ipchains aparece en la mayor�a de las distribuciones de Linux basadas en los n�cleos 2.2. Si desea compilarla usted mismo, puede encontrar el paquete con el c�digo fuente en el sitio de desarrollo http://www.rustcorp.com/linux/ipchains/. Con el paquete del c�digo fuente se incluye un gui�n [2] denominado ipfwadm-wrapper que imita a la orden ipfwadm, pero que realmente invoca la orden ipchains. La migraci�n de una configuraci�n preexistente de cortafuegos resulta menos costosa gracias a este complemento.
La sintaxis de la utilidad iptables es bastante similar a la de ipchains. Los cambios consisten en mejoras y en el resultado del redise�o de la herramienta para que sea extensible a trav�s de bibliotecas din�micas. Al igual que en el caso de ipchains, se presentar�n los equivalentes de los ejemplos con iptables de tal forma que pueda comparar y contrastar su sintaxis con la de las otras utilidades.
La utilidad iptables se incluye en el paquete de c�digo fuente de netfilter que est� disponible en http://www.samba.org/netfilter/. Tambi�n estar� inclu�do en cualquier distribuci�n basada en la serie de n�cleos 2.4.
Se hablar� un poco del importante paso hacia delante que netfilter representa en una secci�n dedicada m�s adelante en este cap�tulo.
| [1] | 'firewall packet logging' (N. del T.: "registro de paquetes del cortafuegos" en espa�ol) es una caracter�stica especial que permite escribir una l�nea de informaci�n en un dispositivo especial y visible para usted por cada datagrama que coincida con un regla del cortafuegos. |
| [2] | N. del T.: 'script' en el original en ingl�s |